Concesión de acceso para crear suscripciones de Azure Enterprise (heredado)

Como cliente de Azure del Contrato Enterprise (EA), puede conceder a otro usuario u otra entidad de servicio permisos para crear suscripciones facturadas en su cuenta. En este artículo, aprenderá a usar el control de acceso basado en rol (RBAC) para compartir la capacidad de crear suscripciones y cómo auditar creaciones de suscripciones. Debe tener el rol de propietario en la cuenta que desea compartir.

Nota

• Esta API solo funciona con las API heredadas para la de creación de suscripciones.
• A menos que tenga una necesidad específica de usar las API heredadas, debe usar la información de la versión de disponibilidad general más reciente acerca de la versión de API más reciente. Consulte Asignaciones de roles de cuenta de inscripción: Put para otorgar permiso de creación de suscripciones de EA con las API más recientes.
• Si va a hacer una migración para usar las API más recientes, debe conceder permisos de propietario nuevamente con 2019-10-01-Preview. La configuración anterior que utiliza las siguientes API no permite usar automáticamente las API más recientes.

Nota:

Se recomienda usar el módulo Azure Az de PowerShell para interactuar con Azure. Para comenzar, consulte Instalación de Azure PowerShell. Para más información sobre cómo migrar al módulo Az de PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.

Conceder acceso

Para crear suscripciones en una cuenta de inscripción, los usuarios deben contar con el rol de propietario de Azure RBAC en esa cuenta. Puede conceder a un usuario o a un grupo de usuarios el rol de propietario de Azure RBAC en una cuenta de inscripción si sigue estos pasos:

1. Obtenga el id. de objeto de la cuenta de inscripción a la que quiere conceder acceso

   Para conceder a otros usuarios el rol de propietario de Azure RBAC en una cuenta de inscripción, debe ser propietario de la cuenta o un propietario de Azure RBAC de la cuenta.

   REST

   Solicite mostrar todas las cuentas de inscripción a las que tiene acceso:

   GET https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts?api-version=2018-03-01-preview
   

   Azure responde con una lista de todas las cuentas de inscripción a las que tiene acceso:

   {
     "value": [
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
         "name": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "SignUpEngineering@contoso.com"
         }
       },
       {
         "id": "/providers/Microsoft.Billing/enrollmentAccounts/4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
         "type": "Microsoft.Billing/enrollmentAccounts",
         "properties": {
           "principalName": "BillingPlatformTeam@contoso.com"
         }
       }
     ]
   }
   

   Use la propiedad principalName para identificar la cuenta para la que quiere conceder acceso al propietario de Azure RBAC. Copie el elemento name de esa cuenta. Por ejemplo, si quisiera conceder acceso al propietario de Azure RBAC a la cuenta de inscripción SignUpEngineering@contoso.com, copiaría aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Es el identificador de objeto de la cuenta de inscripción. Pegue este valor en algún lugar para poder usarlo en el paso siguiente como enrollmentAccountObjectId.

   PowerShell

   Use el cmdlet Get-AzEnrollmentAccount para mostrar todas las cuentas de inscripción a las que tiene acceso. Seleccione Probar ahora para abrir Azure Cloud Shell. Para pegar el código, seleccione y mantenga (o haga clic con el botón derecho) en la ventana del shell y seleccione Pegar.

   Get-AzEnrollmentAccount
   

   Azure responde con una lista de las cuentas de inscripción a las que tiene acceso:

   ObjectId                               | PrincipalName
   aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb   | SignUpEngineering@contoso.com
   4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx   | BillingPlatformTeam@contoso.com
   

   Use la propiedad principalName para identificar la cuenta para la que quiere conceder acceso al propietario de Azure RBAC. Copie el elemento ObjectId de esa cuenta. Por ejemplo, si quisiera conceder acceso al propietario de Azure RBAC a la cuenta de inscripción SignUpEngineering@contoso.com, copiaría aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Pegue este identificador de objeto en alguna parte para poder usarlo en el paso siguiente como enrollmentAccountObjectId.

   CLI de Azure

   Use el comando az billing enrollment-account list para mostrar todas las cuentas de inscripción a las que tiene acceso. Seleccione Probar ahora para abrir Azure Cloud Shell. Para pegar el código, seleccione y mantenga (o haga clic con el botón derecho) en la ventana del shell y seleccione Pegar.

   az billing enrollment-account list
   

   Azure responde con una lista de las cuentas de inscripción a las que tiene acceso:

   [
     {
       "id": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
       "name": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
       "principalName": "SignUpEngineering@contoso.com",
       "type": "Microsoft.Billing/enrollmentAccounts",
     },
     {
       "id": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
       "name": "4cd2fcf6-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
       "principalName": "BillingPlatformTeam@contoso.com",
       "type": "Microsoft.Billing/enrollmentAccounts",
     }
   ]
   

   Use la propiedad principalName para identificar la cuenta para la que quiere conceder acceso al propietario de Azure RBAC. Copie el elemento name de esa cuenta. Por ejemplo, si quisiera conceder acceso al propietario de Azure RBAC a la cuenta de inscripción SignUpEngineering@contoso.com, copiaría aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb. Es el identificador de objeto de la cuenta de inscripción. Pegue este valor en algún lugar para poder usarlo en el paso siguiente como enrollmentAccountObjectId.

2. Obtenga el id. del usuario o grupo al que quiere conceder el rol de propietario de Azure RBAC

   1. En Azure Portal, busque en Microsoft Entra ID.
   2. Si desea conceder acceso a un usuario, seleccione Usuarios en el menú de la izquierda. Para conceder acceso a un grupo, seleccione Grupos.
   3. Seleccione el usuario o grupo al que quiere asignar el rol de propietario de Azure RBAC.
   4. Si ha seleccionado un usuario, encontrará el id. de objeto en la página de perfil. Si ha seleccionado un grupo, el identificador de objeto estará en la página introducción. Copie el valor de ObjectID seleccionando el icono de la derecha del cuadro de texto. Péguelo en algún lugar para poder usarlo en el paso siguiente como userObjectId.

3. Conceda al usuario o grupo el rol de propietario de Azure RBAC en la cuenta de inscripción

   Con los valores que recopiló en los dos primeros pasos, conceda al usuario o grupo el rol de propietario de Azure RBAC en la cuenta de inscripción.

   REST

   Ejecute el comando siguiente, reemplazando <enrollmentAccountObjectId> por el elemento name copiado en el primer paso (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb). Reemplace <userObjectId> con el identificador de objeto que ha copiado en el segundo paso.

   PUT  https://management.azure.com/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleAssignments/<roleAssignmentGuid>?api-version=2015-07-01
   
   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>"
     }
   }
   

   Cuando el rol de propietario se asigna correctamente en el ámbito de la cuenta de inscripción, Azure responde con información de la asignación de roles:

   {
     "properties": {
       "roleDefinitionId": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
       "principalId": "<userObjectId>",
       "scope": "/providers/Microsoft.Billing/enrollmentAccounts/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
       "createdOn": "2018-03-05T08:36:26.4014813Z",
       "updatedOn": "2018-03-05T08:36:26.4014813Z",
       "createdBy": "<assignerObjectId>",
       "updatedBy": "<assignerObjectId>"
     },
     "id": "/providers/Microsoft.Billing/enrollmentAccounts/providers/Microsoft.Authorization/roleDefinitions/<ownerRoleDefinitionId>",
     "type": "Microsoft.Authorization/roleAssignments",
     "name": "<roleAssignmentGuid>"
   }
   

   PowerShell

   Ejecute el comando New-AzRoleAssignment siguiente, reemplazando <enrollmentAccountObjectId> con el valor ObjectId recopilado en el primer paso (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb). Reemplace <userObjectId> con el identificador de objeto recopilado en el segundo paso.

   New-AzRoleAssignment -RoleDefinitionName Owner -ObjectId <userObjectId> -Scope /providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>
   

   CLI de Azure

   Ejecute el comando az role assignment create siguiente, reemplazando <enrollmentAccountObjectId> con el valor name recopilado en el primer paso (aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb). Reemplace <userObjectId> con el identificador de objeto recopilado en el segundo paso.

   az role assignment create --role Owner --assignee-object-id <userObjectId> --scope /providers/Microsoft.Billing/enrollmentAccounts/<enrollmentAccountObjectId>
   

   Cuando un usuario se convierte en propietario de Azure RBAC de su cuenta de inscripción, puede crear suscripciones en ella mediante programación. Cuando un usuario delegado crea una suscripción, obtiene el rol Propietario de RBAC de Azure para la suscripción.

Auditoría que ha creado suscripciones con registros de actividad

Para realizar el seguimiento de las suscripciones creadas a través de esta API, use la API de registro de actividad de inquilinos. Actualmente no es posible usar PowerShell, la CLI ni Azure Portal para realizar el seguimiento de la creación de suscripciones.

1. Como administrador de inquilinos del inquilino de Microsoft Entra, eleve los privilegios de acceso y asigne un rol de lector al usuario de auditoría con el ámbito /providers/microsoft.insights/eventtypes/management. Este acceso está disponible en el rol Lector, el rol Colaborador de supervisión o un rol personalizado.

2. Como usuario de auditoría, llame a la API de registro de actividad de inquilinos para ver las actividades de creación de suscripciones. Ejemplo:

   GET "/providers/Microsoft.Insights/eventtypes/management/values?api-version=2015-04-01&$filter=eventTimestamp ge '{greaterThanTimeStamp}' and eventTimestamp le '{lessThanTimestamp}' and eventChannels eq 'Operation' and resourceProvider eq 'Microsoft.Subscription'"
   

Para llamar cómodamente a esta API desde la línea de comandos, pruebe ARMClient.

Contenido relacionado

• Ahora que el usuario o la entidad de servicio tienen permiso para crear una suscripción, puede usar dicha identidad para crear suscripciones de Azure Enterprise mediante programación.
• Para obtener un ejemplo sobre cómo crear suscripciones con. NET, vea ejemplo de código en GitHub.
• Para obtener más información sobre Azure Resource Manager y sus API, vea Información general de Azure Resource Manager.
• Para obtener más información sobre cómo administrar grandes cantidades de suscripciones mediante grupos de administración, consulte Organización de los recursos con grupos de administración de Azure.
• Para consultar una guía completa de procedimientos recomendados para grandes organizaciones sobre la gobernanza de suscripciones, vea Scaffolding empresarial de Azure: gobernanza de suscripciones preceptiva